jueves, 24 de enero de 2013

Proteger nuestra NAS Synology

Esto es sólo una pequeña recomendación del nivel mínimo de seguridad que deberíamos tener en una NAS Synology para asegurarnos la protección esencial y evitarnos sustos.

Muchas de las cabinas de datos que poseemos terminan siendo publicadas a Internet para conectarnos desde el móvil o tablet, de ahí que siempre que tengamos datos como backups o documentos nos aseguremos de no encontrarnos con sorpresas desagradables:

Cambia los puertos de gestión por defecto de la NAS:
Imprescindible a mi opinión, diferentes bots se dedican a buscar por internet grandes rangos de ip's probando la conexión con contraseñas genéricas para acceder a nuestros datos, si quieres evitar unos cuantos intentos de intrusos no deseados este debería ser el primer paso. Podemos acceder a la configuración de estos puertos desde Menú Principal / Panel de Control / Configuración DSM / Servicio HTTP.


Activa HTTPS:
El Protocolo de Transferencia de Hipertexto Seguro (o https para los amigos) nos permitirá cifrar toda la comunicación entre nuestro navegador y la cabina, es importante puesto que en esa comunincación se incluyen usuario y password cada vez que iniciamos sesión.

Puedes activar la navegación bajo HTTPS en la misma ventana de Servicio HTTP, y no está demás activar la opción de redirigir el tráfico por si nos da pereza escribir escribir http o https al acceder.


Recuerda que si no tienes instalado un certificado SSL te aparecerá un mensaje de advertencia al conectarte en cada sesión, sólo es visual, necesitas instalar un certificado SSL en la cabina que esté validado por una entidad certificadora autorizada. Es tan simple como ignorar ese menaje y seleccionar la opción Continuar, pero si quieres pulir tu NAS y dejar las cosas bien hechas en una siguiente entrada explicaré como crear e instalar un certificado en nuestra cabina.

No uses la DMZ para compartir tu NAS:
A veces cuando tenemos problemas para acceder desde internet a nuestra cabina de datos se toma la decisión de ubicarla la ip de ésta en la DMZ del router, esta es una opción de las más insensatas que pueden tomarse si dentro posee algún dato mínimamente relevante, y la dejamos a un paso de estar colgada sin defensa alguna en las amplias y peligrosas llanuras de eso que llaman Internet.



Firwall activado SI o SI:
En Panel de Control puedes acceder al Cortafuegos, es una de las mejores herramientas para evitar visitas no deseadas, es importante que te crees unas reglas de acceso para saber que tráfico podrá entrar a la cabina y cual no, y sumamente importante que si activas el Cortafuegos/Firewall con unas reglas determinadas selecciones la opción que encontrarás abajo que deniegue todo el tráfico que no cumpla esas reglas.


Afortunadamente Synology sabe que todos somos muy muñones y que se nos puede ir la mano jugando con la configuración, por lo que si detecta que se bloquean los puertos de gestión de la NAS no saldrá un aviso emergente y nos impedirá guardar los cambios, puesto que así siempre podremos conectarnos por el navegador y afinar nuestra configuración de seguridad sin miedo de dejar la cabina aislada.

CONSEJO: Si te conectas por Telnet (puerto 23) o SSH (puerto 22) es recomendable dejar una regla de apertura personalizada desde la que sólo puedan conectarse determinadas ip's através de estos puertos, ya que son algunos de los más utilizados para buscar vulnerabilidades y puntos flacos.

Activar la protección contra ataques DoS:
Opción disponible en DSM 4.2 y que podrás encontrarla dentro del Firewall, útil para evitar este tipo de ataques que pueden tumbar nuestra cabina y los servicios que ofrece, especialmente si la tenemos enfocada a ofrecer recursos empresariales o entornos de oficina.



Activar el Bloqueo Automático:
Como he comentado al principio existen personas que ya sea por aburrimiento o malas intenciones buscan dentro de Internet jugosas cabinas repletas de datos personales a las cuales acceder, en esos intentos de acceso suelen intentar validarse con un usuario admin y diferentes passwords genéricas o comunes, con esta útil herramienta que incorpora DSM podemos hacer que si alguien o algo intenta acceder introduciendo mal sus datos x veces se le añada a una lista negra donde se le rechazará cualquier intento de conexión sin importar los datos.


Es importante tener cuidado con esta opción puesto que nosotros mismos podemos quedar incluidos  y si sólo tenemos un equipo o una ip desde la que intentar validarnos sería muy molesto estar x horas sin poder conectarnos a la máquina. Por eso mi consejo es un tiempo prudente que haga que sistemas automáticos nos salten en caso de intentar acceder a nuestra cabina, fijando la duración del bloqueo de un día debería ser más que suficiente, aunque siempre podremos consultar las ip's que intentar acceder de forma fraudulenta desde el botón Lista de Bloqueos.

Pese a esto si trabajamos con DSM 4.2 disponemos de una lista blanca de confianza a la que podremos agregar una o varias ip's a las cuales no se aplicará esta medida de seguridad.

Antivirus:
Punto delicado y que creo que puede ser interesante activarlo dependiendo de:

1.- Los recursos de nuestra NAS: para CPU's ARM la activación del antivirus supone un consumo de recursos importantes y un filtro de escaneo continuo de los archivos con los que la NAS trabaje.
2.- El número de usuario y ordenadores que trabajen con la NAS en cuestión, en mi caso soy sólo yo accediendo desde varios dispositivos tales como Apple TV, pc sobremesa, portátil, iPad, iPhone... por lop que yo controlo el nivel de peligrosidad que supone no tener antivirus (actualemente no lo tengo ni instalado).
3.- Que ficheros y descargas utilizas? Por supuesto si trabajas con todo tipo de archivos cibernéticos ni lo dudes a la hora de activarlo, y si bajas con eMule otro tanto de lo mismo.


Actualmente estoy estudiando la manera de conseguir bloquear todo el tráfico procedente de las ip's y dominios que están en muchos servicios de listas negras para paralizar spam, publicidad, técnicas de espionaje, anti-p2p... por ahora sólo he podido encontrarlo en aplicaciones muy concretas, pero al estar el DSM basado en Linux confío encontrar algo, una vez lo tenga lo subiré al blog.

10 comentarios:

HAS CONSEGUIDO ALGO SOBER ESTE PUNTO, ESTARIA MUY INTERESADO

"Actualmente estoy estudiando la manera de conseguir bloquear todo el tráfico procedente de las ip's y dominios que están en muchos servicios de listas negras para paralizar spam, publicidad, técnicas de espionaje, anti-p2p..."

GRACIAS

Sí, la verdad es que sí, a ver si esta semana saco una entrada sobre este tema!

¿Podías poner algunos ejemplos típicos de configuración de reglas para el firewall? Gracias.

Hola, gracias por la información, tengo una pregunta sobre https y el certificado SSL. Dices de crear uno mismo el certificado SSL, si es uno mismo ¿para qué sirve? Yo creía que si lo contratabas con una entidad certificadora podías usarlo y al entrar te aparecía en el navegador en verde que la página es seguro, pero crearlo uno mismo ¿qué utilidad tiene? Yo probé a crear uno y me seguía apareciendo el aviso al acceder mediante https, no sé si lo hice mal o que no es ese el fin, ¿podría aclarármelo?

Gracias

Javier, el usar un certificado autofirmado te permite un mejor nivel de seguridad bajo HTTPS, pero el aviso que ves únicamente hace referencia a que ese certificado no está firmado por una entidad certificadora pública, es un mensaje genérico de seguridad de tu navegador.

HOla, gracias por la respuesta, el problema que resulta muy pesado cada vez que abres un navegador tener que estar dando al botón "Continuar de todos modos", he estado viendo la creación con un certificado que hay gratuito, pero obliga a poner un dominio que a pesar que tengo no-ip y dyndns no me valen, había pensado comprar un dominio para hacerlo, pero supongo que aunque lo haga no me valdrá con ip dinámica ¿no? He buscado información sobre esto y he no he encontrado demasiado, solo un par de sitios que dicen que se requiere ip estática. El problema es que pagar la ip estática son 14 € más impuesto al mes, saliendo mucho más caro que un hosting,pero sí que me gustaría tener https porque quiero tener el blog en mi nas y me gustaría poner una tienda y prefiero tener los datos en mi máquina, que ya me los perdieron en un hosting.

¿Habría alguna manera?
Saludos


Hai người bây giờ ở tại trong rừng trúc, ở chỗ rừng trúc này hai người đã đi một ngày, nhưng vẫn chưa ra khỏi được.

Đây là một phiến rừng trúc rất lớn, mỗi một cây trúc đều to như chén ăn cơm lớn, ở chỗ này Nhạc Thành cảm thấy quỷ dị, nhưng cũng không có nhìn ra.

Nhạc Thành đứng ở tại chỗ, thần thức tỏa ra, hắn nhìn toàn bộ đều là rừng trúc, cũng không biết rừng trúc này lớn cỡ nào nữa.

- Nhạc Thành, ngươi xem, bên kia hình như có một sơn động.

Cô gái nhìn Nhạc Thành nói.

Nhạc Thành đi theo cô gái, thật sự ở chính giữa đỉnh núi, có vẻ có một cái sơn động.

- Chúng ta đi xem một chút đi.
dongtam
mu moi ra hom nay
tim phong tro
http://nhatroso.com/
nhạc sàn
tổng đài tư vấn luật
văn phòng luật hà nội
tổng đài tư vấn luật
thành lập công ty trọn gói
http://we-cooking.com/
chém gió
trung tâm tiếng anh
Cô gái xinh đẹp nhìn Nhạc Thành nói.

- Quên nó đi, chúng ta đi đường vòng thôi.

Nhạc Thành do dự một chút nói, hắn không biết trong sơn động có cái gì, hắn cũng không muốn gặp thêm phiền toái, nói không chừng là một ổ ma thú, vậy thì phiền toái lớn rồi.

- Quên nó đi, ta cảm thấy sơn động tựa hồ quỷ quái, ngươi không biết chúng ta đi một ngày, ngọn

Hola, saludos. E activado el paso de http a https y ahora no puedo entrar desde mi propio pc en la misma red. Alguna idea?

Posiblemente tengas que reconfigurar el puerto de tu router para que vea también el HTTPS.

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More